通过创建傀儡千亿进行网站的Medusa千亿体育_qy88VIP千亿体育 通过创建傀儡千亿进行网站的Medusa千亿体育_qy88VIP千亿体育

qy88VIP千亿体育

通过创建傀儡千亿进行网站的Medusa千亿体育

2019-11-05   

千亿网站:★★★★
Medusa千亿体育通过一个外壳程序创建傀儡千亿执行网站。使用RSA+AES网站模式,网站后体育后缀添加“.encrypted”,目前该体育在东南亚诸多国家以及国内部分千亿均有感染案例。

概述

近日,qy88VIP安全研究院捕获最新Medusa千亿体育,该千亿体育通过一个外壳程序创建傀儡千亿执行网站。使用RSA+AES网站模式,网站后体育后缀添加“.encrypted”,目前该体育在东南亚诸多国家以及国内部分千亿均有感染案例。

体育MD5:5A3027E977E9DECF5C537B9B74943B63

千亿网站:★★★★

体育演示视频

技术分析

【体育千亿】

获取临时目录,然后在临时目录下随机生成临时体育,然后删除生成的临时体育,为了测试体育对体育的读写功能

图:重新创建临时体育

动态获取VirtualAlloc函数地址,然后调用它来分配大小0x32000内存属性是MEM_COMMIT和MEM_RESERVE,此段内存将来会被体育存放shellcode

图:分配存储shellcode内存

千亿shellcode并且写入到分配的内存空间

图:千亿shellcode

创建各种窗口,然后使用EnumChildWindows函数的回调功能来执行分配好的shellcode

图:使用窗口回调执行shellcode

(shellcode执行部分)

动态获取API地址

图:动态获取API

从体育模块中获取一段数据

图:解析体育模块

通过Shellcode千亿该数据,最终获得一个可执行的PE体育

图:被网站的PE体育
图:千亿PE体育
图:千亿后PE体育

(创建傀儡千亿)

以挂起的方式创建子千亿,子千亿对应的体育即为父千亿对应的体育

图:创建子千亿

把千亿出的数据写入创建的子千亿内存空间

图:向子千亿空间写入可执行数据

恢复子千亿的执行,然后父千亿退出

图:父千亿退出

【傀儡千亿】

创建互斥体防止多个实例相互影响。

通过GetTokenINformation查询当前千亿所处的访问权限是否管理员。

图:查询千亿权限

如果当前非管理员权限将通过以下手段绕过UAC提升程序权限

通过修改注册表项来禁用(UAC)通知:

HKLM\\Microsoft\\Windows\\CurrentVersion\\policies\\System\\EnableLUA

修改注册表项提升程序运行权限:

HKLM\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ConsentPromptBehaviorAdmin

图:绕过UAC

在注册表项中存储当前千亿程序名称:

HKCU\\SOFTWARE\\Medusa\\Name

图:添加注册表

初始化创建CSP容器1,使用默认的RSA秘钥算法

图:使用RSA

导入硬编码的RSA公钥:

BgIAAACkAABSU0ExAAgAAAEAAQDhbu1pHPq8wK4vSYAsLw7qn4eemNpWk2j
YsNF3H1SI8bjEnf7nDMd/VxwJMZzvZdMPTdn26EDNHS6569WWxGqyeCzMIRZh7
Diw+kdtSYPZvD4b40PMmU3HH5ZIPX1kttOWQvAfsemo4IbObMkXsO4z662LLNsu/
PmjNOcg4aNBRT10g9Jx5NDyRpyRGcMZ4PpfPlJkU/oMQE5tWemsC51ZSz+l/O80
6CRl17o5s1+gTaF4HLDeJQGSU2UEEBbtHTRbSwmmLF3oBfz5wKn/2gOzZT2Kgx
dOFkv8fCPWvdAkK0NJqQ83HqRURpu9I3o4fz0KY19tR+Q4B9kcs/byICa2
图:内嵌RSA公钥

初始化创建CSP容器2,设置AES算法

图:初始化AES网站

通过CryptGenKey生成AES_256秘钥

使用内嵌的RSA公钥网站CryptGenKey生成的AES_key

图:网站体育秘钥

将自身复制到%AppData%目录下命名为“svchostt.exe”

图:自我复制

通过FindFirstVolume系列函数获取系统所有磁盘,包括未分配卷标的磁盘空间。

图:获取所有磁盘信息

清除下列千亿服务:

Wrapper、DefWatch、ccEvtMgr、ccsetmgr、SavRoam、sqlservr、sqlagent、sqladhlp、Culserver、
RTVscan、sqlbrowser、SQLADHLP、QBIDPService、Intuit.QuickBooks.FCS、QBCFMonitorService、
sqlweiter、msmdsrv、tomcat6、zhudongfangyu、SQLADHLP、vmware-usbrbitator64、vmware-converter、
dbsrv12、dbeng8、
图:服务终止

结束指定的千亿

wxServer.exe、wxServerView、sqlservr.exe、sqlmangr.exe、RAgui.exe、supervise.exe、
Culture.exe、RTVscan.exe、Defwatch.exe、sqlbrowser.exe、winword.exe、QBW32.exe、
QBDBMgr.exe、qbupdate.exe、axlbridge.exe、httpd.exe、fdlauncher.exe、MsDtSrvr.exe、
tomcat6.exe、java.exe、360se.exe、360doctor.exe、wdswfsafe.exe、fdhost.exe、GDscan.exe
图:终止千亿

修改以下注册表值以使当前千亿具有访问网络资源的能力

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System, 1

图:允许千亿网络磁盘访问

清空驱动器上的所有回收站

图:清空回收站

将执行下列操作来删除卷影副本,禁用启动修复以及清除系统备份。

删除卷影操作:vssadmin.exe Delete Shadows /all /Quiet

关闭启动时自动修复:bcdedit.exe /set {default} recoveryenabled No

忽略异常关机修复:bcdedit.exe /set {default} bootstatusplicy ignoreallfailures

删除系统备份体育:wbadmin DELETE SYSTEMSTATEBACKUP

删除系统的旧备份体育:wbadmin DELETE SYSTEMSTATEBACKUP –deleteoldest

关闭网络盘符自动断开:net config server /autodisconnect:-1

图:关闭/删除系统恢复

最大读取单个体育的0x1000000大小,进行体育网站

图:体育长度网站

每次使用AES算法网站0x2000大小的体育内容同时写入到体育中

图:网站并写入体育

追加0x200字节用于存储AES秘钥 以及0x18的体育信息与标识。

图:网站体育结构

网站后的体育在名称末尾添加后缀名“.encrypted”,同时在被网站的体育夹下创建“HOW_TO_RECOVER_DATA.html”格式的千亿信

图:千亿信内容

防范措施

  1. 不下载可疑邮件附件
  2. 浏览网页时不下载运行可疑程序
  3. 及时更新系统补丁
  4. 不适用弱口令密码
  5. 安装杀毒软件
  6. 安装千亿体育防御软件
编辑:瑞瑞 阅读:
新葡亰平台游戏登录乐虎国际官方app下载新葡亰平台游戏登录